안랩 ASEC은 2019년 3월 6일 갠드크랩 v5.2가 닷넷(.NET) 외형으로 유포되고 있음을 확인하였다. 최근 국내에 활발하게 유포 중인 갠드크랩은 주로 UPX로 실행 압축된 형태이지만, 이번에 확인된 파일의 경우 갠드크랩이 닷넷으로 제작 및 유효하지 않은 가짜 인증서까지 포함하고 있다는 것은 특이한 경우이다.
[그림 1] 닷넷 외형 갠드크랩의 유효하지 않은 인증서 정보
이점은 갠드크랩 제작자가 백신 탐지를 우회하기 위해 UPX 실행 압축 형태, 닷넷 외형 등 다양한 파일 외형으로 유포하고 있음을 의미한다. 닷넷 외형의 갠드크랩은 아래 [그림 2]와 같이 Sleep 함수 호출을 통한 실행 지연 코드를 포함하고 있다. 이는 갠드크랩의 실행 시간을 지연시켜 샌드박스 탐지를 회피하기 위한 목적으로 보인다.
[그림 2] Sleep 함수 호출 (0x30D40=3분20초)
Sleep 함수를 여러번 호출하여 약 3~4분간의 대기 이후에는 RunPE 방식으로 닷넷 외형 내부에 존재하는 갠드크랩을 실행한다.
[그림 3] 닷넷 외형 PE 내부에 존재하는 갠드크랩 v5.2
그리고 2월 20일 공개한 GandCrab 랜섬웨어 v5.2 국내 유포 중(https://asec.ahnlab.com/1200) 글 게시 후 2월 23일 부터 현재 유포 중인 갠드크랩 v5.2는 실행 압축된 파일 내부 코드가 전체적으로 변경된 것으로 추정된다.
[그림 4] 닷넷 외형 내부 갠드크랩의 컴파일 시간 정보 (2019/02/23)
주요 바뀐 점은 먼저 안랩을 비하하는 문구는 사라지고 얼마 전에 갠드크랩 v5.1 복구툴을 공개한 BitDefender 백신업체를 연상시키는 문자열(BitHuender)로 바뀌었으며, 이 문자열은 뮤텍스 이름으로 사용됨을 확인하였다.
[그림 5] 변경된 주요 문자열 정보
또한, 갠드크랩의 랜섬노트명이 [랜덤7자리]-DECRYPT.txt에서 [랜덤7자리]-MANUAL.txt로 변경되었다.
[그림 6] 변경된 랜섬노트 파일명 ([랜덤7자리]-MANUAL.txt)
현재 안랩 V3에서는 갠드크랩을 아래와 같은 진단명으로 탐지 및 차단 하고 있다.
- 파일진단 : Trojan/Win32.MSIL (2019.03.07.00)
- 행위진단 : Malware/MDP.Ransom.1171
'악성코드 정보' 카테고리의 다른 글
국내 압축프로그램을 위장한 원격제어 악성코드 (1) | 2019.03.08 |
---|---|
해킹툴 Ammyy를 이용한 CLOP 랜섬웨어 유포(?) (0) | 2019.03.07 |
'CLOP'랜섬웨어 'CIOP'로 이름 변경 (제작자의 농간?) (1) | 2019.03.04 |
멀버타이징 방식에 의한 매그니베르와 갠드크랩 중복감염 (0) | 2019.02.28 |
GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 (0) | 2019.02.27 |
댓글